Attaques Web côté serveur
Découvrez les attaques web côté serveur qui ciblent le comportement du backend de l'application plutôt que le navigateur. Ces failles sont particulièrement dangereuses car elles permettent aux attaquants de forcer le serveur à récupérer des ressources internes, à analyser des documents malveillants ou à accepter des jetons d'authentification falsifiés. Ce cours vous explique le fonctionnement des vulnérabilités SSRF, XXE et de la manipulation de JWT, ainsi que la manière dont les attaquants les enchaînent pour compromettre le serveur en profondeur.
Pourquoi est-ce important ?
Les failles côté serveur remettent en cause des hypothèses auxquelles les équipes font souvent trop confiance. Si une application peut accéder à des services internes pour le compte d'un utilisateur, lire des fichiers locaux via une analyse non sécurisée ou accepter un jeton forgé, l'attaquant peut souvent contourner des couches de segmentation et de contrôle d'accès qui semblaient pourtant sécurisées de l'extérieur.
Ce cours se concentre sur des chaînes d'attaques à fort impact. Vous apprendrez à forcer des requêtes backend, à exploiter l'analyse XML, à inspecter et modifier des JWT, et à combiner des faiblesses côté serveur pour extraire des secrets et usurper l'identité d'utilisateurs privilégiés.
Ce que vous allez apprendre
- Exploiter le SSRF pour atteindre des services internes et des ressources backend protégées.
- Abuser de l'XXE pour lire des fichiers locaux et extraire des données sensibles côté serveur.
- Décoder, analyser et manipuler les jetons d'authentification basés sur JWT.
- Comprendre comment la confiance accordée aux jetons et le comportement des analyseurs créent des failles de sécurité.
- Enchaîner des faiblesses côté serveur pour réaliser une compromission concrète des accès privilégiés.
Feuille de route du cours
- Server-Side Request Forgery (SSRF) : Forcer un serveur cible à effectuer des requêtes que vous ne pourriez pas envoyer directement.
- XML External Entity (XXE) Injection : Exploiter une analyse XML non sécurisée pour lire des données locales sensibles.
- Bases de la manipulation de JWT : Analyser la structure des jetons et exploiter une validation faible ou une gestion défaillante des signatures.
- Défi d'exploitation côté serveur : Enchaîner plusieurs faiblesses pour récupérer des secrets et contourner les contrôles administratifs.
À qui s'adresse ce cours ?
- Aux apprenants qui souhaitent passer des failles web de base à une exploitation côté serveur plus avancée.
- Aux testeurs de sécurité ayant besoin d'une pratique concrète sur des vecteurs d'attaque backend à fort impact.
- Aux défenseurs souhaitant comprendre comment les limites de confiance échouent dans les applications web et les API.
Résultats attendus
À la fin de ce cours, vous serez capable d'identifier et d'exploiter les faiblesses web côté serveur courantes, d'expliquer pourquoi elles sont dangereuses et de comprendre comment elles se combinent pour mener à une compromission sérieuse de l'application.
